Comunicações entre pontos finais no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Insira a introdução aqui.

Quando os sistemas de sites ou componentes do Gestor de configuração comunicam através da rede com outros sistemas de sites ou componentes do Gestor de configuração no site, utilizam um dos seguintes, dependendo da forma como configurar o site:

  • Bloco de mensagem de servidor (SMB)

  • HTTP

  • HTTPS

À exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações de servidor para servidor num site podem ocorrer a qualquer hora e não utilizam mecanismos para controlar a largura de banda de rede. Uma vez que não é possível controlar a comunicação entre sistemas de sites, certifique-se de que instala servidores do sistema de sites em localizações com boa ligação e redes rápidas.

Para ajudar a gerir a transferência de conteúdo do servidor do site para pontos de distribuição:

  • Configure o ponto de distribuição para o controlo da largura de banda de rede e o agendamento. Estes controlos assemelham-se às configurações utilizadas por endereços entre sites e, muitas vezes, pode utilizar esta configuração em vez de instalar outro site do Gestor de configuração quando a transferência de conteúdos para localizações de rede remotas é a sua principal consideração em termos de largura de banda.

  • Pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição pré-configurado permite-lhe utilizar o conteúdo que é manualmente colocado no servidor do ponto de distribuição e remove o requisito de transferir ficheiros de conteúdo através da rede.

Para mais informações, consulte Gerir a largura de banda de rede para a gestão de conteúdo.

Os clientes iniciam a comunicação com as funções do sistema de sites, os Serviços de Domínio do Active Directory e os serviços online. Para ativar estas comunicações, as firewalls têm de permitir o tráfego de rede entre os clientes e o ponto final das suas comunicações. Os pontos finais incluem:

  • Ponto de site do Catálogo de Aplicações - (Suporta comunicação HTTP e HTTPS)

  • Recursos baseados na nuvem como o Microsoft Azure e Microsoft Intune

  • Módulo de Política do Configuration Manager (NDES) - (Suporta comunicação HTTP e HTTPS)

  • Pontos de distribuição -(Suporta comunicação HTTP e HTTPS, e é necessário HTTPS para pontos de distribuição baseados na nuvem)

  • Ponto de estado de contingência - (Suporta comunicação HTTP)

  • Ponto de gestão - (Suporta comunicação HTTP e HTTPS)

  • Microsoft Update

  • Pontos de atualização de software- (Suporta comunicação HTTP e HTTPS)

  • Ponto de Migração de Estado - (Suporta comunicação HTTP e HTTPS)

  • Vários serviços de domínio

Para que um cliente possa comunicar com uma função do sistema de sites, o cliente utiliza a localização do serviço para encontrar uma função do sistema de sites que suporte o protocolo (HTTPS ou HTTP) do cliente. Por predefinição, os clientes utilizam o método mais seguro disponível:

Para obter informações sobre a localização de serviços pelos clientes, veja Compreender a forma como os clientes localizam os recursos e os serviços do site no System Center Configuration Manager.

Para obter detalhes sobre as portas e os protocolos utilizados pelos clientes quando comunicam com estes pontos finais, veja Portas utilizadas no System Center Configuration Manager

Considerações sobre comunicações do cliente a partir da Internet ou uma floresta não fidedigna

As seguintes funções do sistema de sites instaladas nos sites primários suportam ligações de clientes que se encontram em localizações não fidedignas, como a Internet ou uma floresta não fidedigna (os sites secundários não suportam ligações de clientes de localizações não fidedignas):

  • Ponto de Web site do Catálogo de Aplicações

  • Módulo de Política do Configuration Manager

  • Ponto de distribuição (os pontos de distribuição baseados na nuvem precisam de HTTPS)

  • Ponto proxy de registo

  • Ponto de estado de contingência

  • Ponto de gestão

  • Ponto de atualização de Software

Acerca dos sistemas de sites com acesso à Internet:
Embora não exista qualquer requisito de confiança entre a floresta de um cliente e a de um servidor do sistema de sites, quando a floresta que contém um sistema de sites com acesso à Internet confia na floresta que contém as contas de utilizador, esta configuração suporta políticas baseadas em utilizadores para dispositivos na Internet quando ativa a definição de cliente da Política do Cliente Ativar pedidos da política do utilizador dos clientes Internet.

Por exemplo, as configurações seguintes ilustram quando a gestão de clientes baseada na Internet suporta políticas de utilizador para dispositivos na Internet:

  • O ponto de gestão baseado na Internet encontra-se na rede de perímetro em que reside um controlador de domínio para autenticar o utilizador e uma firewall intermediária permite pacotes do Active Directory.

  • A conta de utilizador encontra-se na Floresta A (a intranet) e o ponto de gestão baseado na Internet encontra-se na Floresta B (a rede de perímetro). A Floresta B confia na Floresta A e uma firewall intermediária permite os pacotes de autenticação.

  • A conta de utilizador e o ponto de gestão baseado na Internet encontram-se na Floresta A (a intranet). O ponto de gestão é publicado na Internet através de um servidor Web proxy (como o Forefront Threat Management Gateway).

System_CAPS_ICON_note.jpg Nota


Se a autenticação Kerberos falhar, será automaticamente tentada a autenticação NTLM.

Como mostra o exemplo anterior, é possível colocar sistemas de sites baseados na Internet na intranet quando estes forem publicados na Internet utilizando um servidor Web proxy, tal como o ISA Server ou o Forefront Threat Management Gateway. Estes sistemas de sites podem ser configurados apenas para ligações de cliente a partir da Internet, ou para ligações de cliente provenientes da Internet e da intranet. Ao utilizar um servidor Web proxy, poderá configurá-lo para bridge de Secure Sockets Layer (SSL) para SSL (mais seguro) ou túnel SSL:

  • Protocolo de bridge SSL para SSL:
    A configuração recomendada quando utiliza servidores Web proxy para a gestão de clientes baseados na Internet é o protocolo de bridge SSL para SSL, que utiliza a terminação de SSL com a autenticação de SSL. Os computadores cliente têm de ser autenticados utilizando a autenticação de computador e os clientes antigos do dispositivo móvel são autenticados utilizando a autenticação de utilizador. Os dispositivos móveis que são inscritos pelo Gestor de configuração não suportam o protocolo de bridge SSL.

    A vantagem da terminação de SSL no servidor Web proxy é que os pacotes da Internet são sujeitos a inspeção antes de serem encaminhados para a rede interna. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na Internet. Quando os clientes do Gestor de configuração utilizam um servidor Web proxy, a identidade do cliente (GUID do cliente) está contida em segurança no payload do pacote de forma que o ponto de gestão não considere que o servidor Web proxy é o cliente. O protocolo de bridge não é suportado no Gestor de configuração com HTTP para HTTPS ou de HTTPS para HTTP.

  • Protocolo de túnel:
    Se o seu servidor Web proxy não suportar os requisitos do protocolo de bridge SSL ou se pretender configurar o suporte de Internet em dispositivos móveis que estão inscritos no Gestor de configuração, também é suportado o protocolo de túnel SSL. É uma opção menos segura porque os pacotes SSL da Internet são encaminhados para os sistemas de sites sem a terminação de SSL, não podendo ser, assim, inspecionados quanto a conteúdo malicioso. Quando utiliza o protocolo de túnel SSL, não existem requisitos de certificado para o servidor Web proxy.

O System Center Configuration Manager suporta sites e hierarquias que abrangem florestas do Active Directory.

Gestor de configuração também suporta computadores de domínio que não se encontrem na mesma floresta do Active Directory que o servidor do site, bem como computadores que se encontrem em grupos de trabalho:

  • Para suportar computadores de domínio localizados numa floresta que não é considerada fidedigna pela floresta do seu servidor de sites, pode:

    • Instalar funções do sistema de sites nessa floresta não fidedigna, com a opção de publicar informações do site nessa floresta do Active Directory

    • Gerir os computadores como se fossem computadores de grupo de trabalho.

    Ao instalar servidores de sistemas de sites numa floresta do Active Directory não fidedigna, as comunicações cliente-servidor dos clientes nessa floresta são mantidas ao nível da floresta e o Gestor de configuração poderá autenticar o computador utilizando Kerberos. Se publicar informações relativas ao site na floresta do cliente, os clientes beneficiarão da possibilidade de obtenção de informações sobre o site, tais como uma lista dos pontos de gestão disponíveis, a partir da respetiva floresta do Active Directory, em vez de terem de a transferir a partir do ponto de gestão que lhes estiver atribuído.

    System_CAPS_ICON_note.jpg Nota


    Para gerir os dispositivos que se encontrem na Internet, pode instalar funções de sistema de sites baseadas na Internet na sua rede de perímetro desde que os servidores do sistema de sites se encontrem numa floresta do Active Directory. Este cenário não necessita de uma fidedignidade bidirecional entre a rede de perímetro e a floresta do servidor de sites.

  • Para suportar computadores num grupo de trabalho, tem de:

    • Aprovar manualmente os computadores do grupo de trabalho quando utilizam ligações de cliente HTTP para as funções do sistema de sites. Isto acontece porque o Gestor de configuração não pode autenticar estes computadores através de Kerberos.

    • Configurar a Conta de Acesso à Rede para que estes computadores possam receber conteúdos dos pontos de distribuição.

    • Fornecer um mecanismo alternativo para que os clientes do grupo de trabalho localizem pontos de gestão. Pode utilizar a publicação de DNS ou WINS, ou atribuir diretamente um ponto de gestão. Isto acontece porque estes clientes não conseguem obter as informações do site dos Serviços de Domínio do Active Directory.

    Recursos relacionados nesta biblioteca de conteúdos:

Cenários para suportar um site ou uma hierarquia que abranja vários domínios e florestas

Comunicação entre sites numa hierarquia que abranja florestas

Este cenário requer uma fidedignidade de floresta bidirecional, que suporta a autenticação Kerberos. Se não possui uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos, o Configuration Manager não suporta um site subordinado na floresta remota.

Gestor de configuração suporta a instalação de um site subordinado numa floresta remota que possua a fidedignidade bidirecional necessária com a floresta do site principal

  • Por exemplo, poderá colocar um site secundário noutra floresta do respetivo site primário principal, desde que a fidedignidade necessária exista.
System_CAPS_ICON_note.jpg Nota


Um site subordinado pode ser um site primário (em que o site de administração central é o site principal) ou um site secundário.

A comunicação entre sites no Gestor de configuração utiliza a replicação de base de dados e transferências baseadas em ficheiros. Ao instalar um site, terá de especificar uma conta para instalar o site no servidor designado. Esta conta também estabelece e mantém a comunicação entre sites.

Após o site ter sido instalado com êxito e ter iniciado transferências baseadas em ficheiros e a replicação de base de dados, não será necessária qualquer configuração adicional para a comunicação com o site.

Se existir uma fidedignidade de floresta bidirecional, o Gestor de configuração não requer quaisquer passos de configuração adicionais.

Por predefinição, quando instala um novo site como subordinado de outro site, o Gestor de configuração configura o seguinte:

  • Uma rota de replicação entre sites, baseada em ficheiros em cada site que utiliza a conta do computador servidor de sites. Gestor de configuração adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_<sitecode> no computador de destino.

  • A replicação de base de dados entre o SQL Server de cada site.

É também necessário definir as seguintes configurações:

  • As firewalls e dispositivos de rede intermediários têm de permitir os pacotes de rede que o Gestor de configuração requer.

  • A resolução de nomes tem de funcionar entre as florestas.

  • Para instalar um site ou função do sistema de sites, terá de especificar uma conta com permissões de administrador local no computador especificado.

Comunicação num site que abranja florestas

Este cenário não requer uma fidedignidade de floresta bidirecional.

Os sites primários suportam a instalação de funções do sistema de sites em computadores em florestas remotas.

  • O ponto de serviço Web do Catálogo de Aplicações é a única exceção. Apenas é suportado na mesma floresta do servidor do site.

Se uma função do sistema de sites aceitar ligações a partir da Internet, como uma melhor prática de segurança, instale as funções do sistema de sites numa localização onde o limite da floresta forneça proteção ao servidor do site (por exemplo, numa rede de perímetro).

Para instalar uma função do sistema de sites num computador numa floresta não fidedigna:

  • Tem de especificar uma Conta de Instalação de Sistema de Sites, que serve para instalar a função do sistema de sites. Esta conta terá de ter credenciais administrativas locais para ligar ao computador especificado e instalar funções do sistema de sites.

  • Tem de selecionar a opção de sistema de sites Exigir que o servidor do site inicie ligações a este sistema de sites. Isto requer que o servidor do site estabeleça ligações ao servidor do sistema de sites para transferir dados. Isso impede que o computador na localização não fidedigna estabeleça contacto com o servidor do site que se encontra no interior da rede fidedigna. Estas ligações utilizam a Conta de Instalação do Sistema de Sites.

Ao utilizar uma função do sistema de sites que foi instalada numa floresta não fidedigna, as firewalls têm de permitir o tráfego de rede, mesmo quando o servidor do site inicia a transferência dos dados.

Além disso, as seguintes funções do sistema de sites requerem acesso direto à base de dados do site. Por conseguinte, as firewalls têm de permitir o tráfego aplicável das florestas não fidedignas para o SQL Server dos sites:

  • Ponto de sincronização do Asset Intelligence

  • Ponto de Endpoint Protection

  • Ponto de inscrição

  • Ponto de gestão

  • Ponto do sistema de reporte

  • Ponto de migração de estado

Para obter mais informações, consulte Portas utilizadas no System Center Configuration Manager.

Pode ser necessário configurar o acesso à função do sistema de sites para a base de dados do site:

As funções do sistema de sites do ponto de gestão e do ponto de registo estabelecem ligação à base de dados do site.

  • Por predefinição, quando estas funções do sistema de sites são instaladas, o Gestor de configuração configura a conta de computador do novo servidor do sistema de sites como conta de ligação para a função do sistema de sites, adicionando-a à função adequada da base de dados do SQL Server.

  • Ao instalar estas funções do sistema de sites num domínio não fidedigno, terá de configurar a conta de ligação da função do sistema de sites para permitir que a função do sistema de sites obtenha informações da base de dados.

Se configurar uma conta de utilizador de domínio como conta de ligação para estas funções do sistema de sites, certifique-se de que a conta de utilizador de domínio possui acesso adequado à base de dados do SQL Server nesse site:

  • Ponto de gestão: Conta de Ligação à Base de Dados do Ponto de Gestão

  • Ponto de registo: Conta de Ligação do Ponto de Registo

Ao planear funções do sistema de sites noutras florestas, considere as seguintes informações adicionais:

  • Se tiver a Firewall do Windows em execução, configure os perfis de firewall aplicáveis para transmitirem comunicações entre o servidor da base de dados do site e os computadores instalados com funções do sistema de sites remotas. Para obter informações sobre perfis de firewall, veja Noções Sobre Perfis de Firewall.

  • Se o ponto de gestão baseado na Internet confiar na floresta que contém as contas de utilizador, são suportadas políticas de utilizador. Se não existir qualquer fidedignidade, só são suportadas políticas de computador.

Comunicação entre clientes e funções do sistema de sites quando os clientes não estão na mesma floresta do Active Directory que o respetivo servidor de site

Gestor de configuração suporta os seguintes cenários para clientes que não estejam na mesma floresta que o respetivo servidor de site:

  • Existe uma fidedignidade de floresta bidirecional entre a floresta do cliente e a floresta do servidor de site

  • O servidor de funções do sistema de sites encontra-se localizado na mesma floresta que o cliente

  • O cliente encontra-se num computador do domínio que não possui uma fidedignidade de floresta bidirecional com o servidor de site e as funções do sistema de sites não se encontram instaladas na floresta do cliente

  • O cliente encontra-se num computador do grupo de trabalho

Os clientes de um computador associado ao domínio podem utilizar os Serviços de Domínio do Active Directory para localização de serviços quando o respetivo site for publicado na sua floresta do Active Directory.

Para publicar informações do site noutra floresta do Active Directory, tem de:

  • Especificar primeiro a floresta, ativando em seguida a publicação nessa floresta no nó Florestas do Active Directory da área de trabalho Administração.

  • Configurar cada site para publicar os respetivos dados nos Serviços de Domínio do Active Directory. Esta configuração permite aos clientes dessa floresta obter as informações de site e localizar pontos de gestão. Para clientes que não possam utilizar os Serviços de Domínio do Active Directory para localização de serviços, poderá utilizar DNS, WINS ou o ponto de gestão atribuído ao cliente.

Colocar o conector do Exchange Server numa floresta remota

Para suportar este cenário, certifique-se de que a resolução de nomes funciona entre as florestas (por exemplo, configurando reencaminhamentos de DNS) e quando configurar o conector do Exchange Server, especifique o FQDN da intranet do Exchange Server. Para obter mais informações, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.

Referência técnica para a infraestrutura de hierarquia e site no System Center Configuration Manager

Mostrar: